repost.aws
Open in
urlscan Pro
18.66.218.14
Public Scan
Submitted URL: https://aws.amazon.com/premiumsupport/knowledge-center/granular-access-lambda/
Effective URL: https://repost.aws/de/knowledge-center/granular-access-lambda
Submission: On May 30 via api from US — Scanned from DE
Effective URL: https://repost.aws/de/knowledge-center/granular-access-lambda
Submission: On May 30 via api from US — Scanned from DE
Form analysis 0 forms found in the DOM
Text Content
Durch die Nutzung von AWS re:Post stimmt du den AWS re:Post Nutzungsbedingungen
re:Post
Suchen
Deutsch
EnglishDeutschEspañolFrançaisItaliano日本語한국어Português中文 (简体)中文 (繁體)
Ressourcen
Anmelden
* Startseite
* Fragen
* Wissenszentrum
* Community-Artikel
* Auswahlen
* Tags
* Themen
* Mehr…
Frage stellen
AWS Business Support. See Eligibility for a free 60-day trial
Less than 1 hour response times for production system down cases, 24x7 access to
cloud experts and 400+ personalized recommendations to optimize costs, improve
performance, increase security, and monitor service quotas with Trusted Advisor.
Click here to see if you are eligible for a free 60-day trial.
1. /
2. Wissenszentrum/
3. Wie kann ich den Zugriff auf Lambda-Funktionen granular gewähren?/
WIE KANN ICH DEN ZUGRIFF AUF LAMBDA-FUNKTIONEN GRANULAR GEWÄHREN?
Lesedauer: 8 Minute
0
Ich möchte Lese- und Schreibzugriff auf eine bestimmte AWS Lambda-Funktion
gewähren, die durch ihren Amazon-Ressourcennamen (ARN) identifiziert wird. Wie
kann ich den Zugriff auf Lambda-Funktionen granular gewähren?
KURZBESCHREIBUNG
Sie können die Berechtigungen für Lambda-Funktionen mithilfe von AWS Identity
and Access Management (IAM)-RIchtlinien konfigurieren, um:
* Erstellen einer Lambda-Funktion
* Löschen einer Lambda-Funktion
* Anzeigen der Konfigurationsdetails einer Lambda-Funktion
* Modifizieren einer Lambda-Funktion
* Aufrufen einer Lambda-Funktion
* Eine Lambda-Funktion überwachen
In den folgenden Richtlinienbeispielen sind Lambda-API-Aktionen, die
Berechtigungen auf Ressourcenebene unterstützen, auf eine bestimmte
Lambda-Funktion beschränkt, die im ****Resourcenelement der jeweiligen Anweisung
aufgeführt ist. Ein spezifischer Funktionsname wird im ****Bedingungselement für
API-Aktionen verwendet, die diese Elemente unterstützen.
API-Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen,
erfordern einen Platzhalter (“*** **„) im ****Resourcenelement und können keine
Lambda-Service-spezifischen Bedingungsschlüssel anwenden. Weitere Informationen
zu IAM-Aktionen, Ressourcen und Bedingungen, die von Lambda unterstützt werden,
finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS Lambda.
Der Wert des ****Resourcenelements einer Anweisung verwendet die ARN, um die
Ressourcen zu identifizieren, für die diese Anweisung gilt. Wenn die Aktion zum
Beispiel Invoke lautet, ist die Ressource eine Funktions-ARN. IAM gleicht diese
ARN mit der ARN der Funktion ab, die durch die Parameter FunctionName und
Qualifier einer Invoke-Anforderung identifiziert wird. Weitere Informationen
finden Sie unter AWS Lambda-Funktionsversionen.
Hinweis: Wenn Sie mehrere Versionen und Aliasname verwenden, müssen Sie
möglicherweise „arn:aws:lambda:region:accountID:Function:Function_name:*“ in das
Ressourcenelement aufnehmen.
BEHEBUNG
ERFORDERLICHE BERECHTIGUNGEN ZUM ERSTELLEN EINER LAMBDA-FUNKTION
Hinweis: Wenn Sie beim Ausführen von AWS Command Line Interface (AWS
CLI)-Befehlen Fehler erhalten, stellen Sie sicher, dass Sie die neueste AWS
CLI-Version verwenden.
Zum Erstellen einer Lambda-Funktion über die AWS-Command Line Interface (AWS
CLI) oder ein SDK sind die beiden Berechtigung Lambda:createFunction und
iam:PassRole erforderlich. Beispiele für Richtlinien finden Sie unter
Identitätsbasierte IAM-Richtlinien für AWS Lambda. Die folgende Richtlinie
ermöglicht es dem API-Aufrufer, eine Lambda-Funktion zu erstellen, die IAM-Rolle
als Lambda-Ausführungsrolle für die Funktion zu übergeben und dann den Code von
Ihrem lokalen Computer hochzuladen:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PermissionToCreateFunction",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction"
],
"Resource": [
"arn:aws:lambda:region:AccountID:function:function_name"
]
},
{
"Sid": "PermissionToPassARole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::AccountID:role/role_name"
}
]
}
Hinweis: Aktualisieren Sie die Richtlinie so, dass sie Ihre relevante Region,
Konto-ID, Funktionsname, ARN usw. enthält.
Wenn Sie den Code von einem Amazon Simple Storage Service (Amazon S3)-Bucket
hochladen, fügen Sie der vorhandenen IAM-Richtlinie eine Richtlinie ähnlich der
folgenden hinzu, um die erforderlichen Berechtigungen für Amazon S3 zu gewähren:
...
{
"Sid": "PermissionToUploadCodeFromS3",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::S3BucketName/FileName.zip"
}
...
Hinweis: Aktualisieren Sie die Richtlinie, um Ihre relevanten S3-Bucket und
Dateinamen enthält.
Da der Code nicht bereitgestellt werden kann, wenn die Funktion in der
Lambda-Konsole erstellt wird, sind API-Berechtigungen erforderlich, z.B.
API-Aktionen auf Leseebene und die Berechtigung zum Anzeigen und Aktualisieren
der Funktion. Fügen Sie eine Richtlinie ähnlich der folgenden hinzu, um diese
Berechtigungen zu gewähren:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PermissionsToViewFunctionsInConsole",
"Effect": "Allow",
"Action": [
"lambda:ListFunctions",
"lambda:GetAccountSettings"
],
"Resource": "*"
},
{
"Sid": "PermissionsToCreateAndUpdateFunction",
"Effect": "Allow",
"Action": [
"lambda:CreateFunction",
"lambda:GetFunction",
"lambda:UpdateFunctionCode"
],
"Resource": [
"arn:aws:lambda:region:AccountID:function:function_name"
]
},
{
"Sid": "PermissionToListExistingRoles",
"Effect": "Allow",
"Action": [
"iam:ListRoles"
],
"Resource": "*"
},
{
"Sid": "PermissionToPassARole",
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": "arn:aws:iam::AccountID:role/role_name"
}
]
}
Hinweis: Aktualisieren Sie die Richtlinie so, dass sie Ihre relevante Region,
Konto-ID, Funktionsname, ARN usw. enthält.
Um eine IAM-Rolle während des Erstellungsprozesses der Lambda-Funktion zu
erstellen, fügen Sie zusätzliche IAM-Berechtigungen ähnlich wie die folgenden
hinzu:
...
{
"Sid": "PermmissionsToCreateAndUpdateARole",
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:CreatePolicy",
"iam:PutRolePolicy",
"iam:AttachRolePolicy"
],
"Resource": "*"
}
...
ERFORDERLICHE BERECHTIGUNGEN ZUM LÖSCHEN EINER LAMBDA-FUNKTION
Um eine Lambda-Funktion über die AWS-CLI oder ein SDK zu löschen, fügen Sie
Berechtigungen ähnlich der folgenden hinzu:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PermissionToDeleteFunction",
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction"
],
"Resource": [
"arn:aws:lambda:region:AccountID:function:function_name"
]
}
]
}
Hinweis: Aktualisieren Sie die Richtlinie so, dass sie Ihre relevante Region,
Konto-ID, Funktionsname, ARN usw. enthält.
Um eine Lambda-Funktion über die Lambda-Konsole zu löschen, fügen Sie
Lambda-Lesezugriffsberechtigungen ähnlich der folgenden hinzu:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PermissionsToViewFunctionsInConsole",
"Effect": "Allow",
"Action": [
"lambda:ListFunctions",
"lambda:GetAccountSettings"
],
"Resource": "*"
},
{
"Sid": "PermissionToDeleteFunction",
"Effect": "Allow",
"Action": [
"lambda:DeleteFunction"
],
"Resource": [
"arn:aws:lambda:region:AccountID:function:function_name"
]
}
]
}
Hinweis: Aktualisieren Sie die Richtlinie so, dass sie Ihre relevante Region,
Konto-ID, Funktionsname, ARN usw. enthält.
ERFORDERLICHE BERECHTIGUNGEN ZUM ANZEIGEN DER KONFIGURATIONSDETAILS EINER
LAMBDA-FUNKTION
Um einem Benutzer die Berechtigung zum Anzeigen der Konfigurationsdetails einer
Lambda-Funktion zu erteilen, fügen Sie Berechtigungen ähnlich der folgenden
hinzu:
Hinweis: Je nach dem Grad des Lesezugriffs, den Sie gewähren möchten, müssen Sie
möglicherweise alle oder eine Teilmenge der folgenden Berechtigungen gewähren,
wenn Sie die AWS CLI oder ein SDK verwenden.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ActionsWhichSupportResourceLevelPermissions",
"Effect": "Allow",
"Action": [
"lambda:GetFunction",
"lambda:GetFunctionConfiguration",
"lambda:GetPolicy",
"lambda:GetAlias",
"lambda:ListVersionsByFunction",
"lambda:ListAliases"
],
"Resource": [
"arn:aws:lambda:region:AccountID:function:function_name"
]
},
{
"Sid": "ActionsWhichDoNotSupportResourceLevelPermissions",
"Effect": "Allow",
"Action": [
"lambda:ListTags",
"lambda:GetEventSourceMapping",
"lambda:ListEventSourceMappings"
],
"Resource": "*"
}
]
}
Hinweis: Aktualisieren Sie die Richtlinie so, dass sie Ihre relevante Region,
Konto-ID, Funktionsname, ARN usw. enthält.
Um die Konfigurationsdetails einer Funktion mithilfe der Lambda-Konsole
anzuzeigen, fügen Sie Berechtigungen wie die folgenden hinzu:
...
{
"Sid": "PermissionsToViewFunctionsInConsole",
"Effect": "Allow",
"Action": [
"lambda:ListFunctions",
"lambda:GetAccountSettings"
],
"Resource": "*"
}
...
Die Lambda-Konsole verwendet das Tagging von Lambda-Funktionen, so dass Sie
Lambda-Funktionen nach Tags filtern können. Um den AWS Tagging Service zu
nutzen, fügen Sie Berechtigungen wie die folgenden hinzu:
...
{
"Sid": "PermissionsToFilterFunctionsByTags",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": "*"
}
...
Die Lambda-Konsole zeigt Details über die IAM-Rolle an, die mit einer
Lambda-Funktion verknüpft ist, sowie über die Ressourcen, auf die diese
IAM-Rolle der Funktion Zugriff hat. Um diese Details anzuzeigen, fügen Sie
Berechtigungen wie die folgenden hinzu:
...
{
"Sid": "PermissionsToViewRolesAndPolicies",
"Effect": "Allow",
"Action": [
"iam:GetPolicy",
"iam:GetPolicyVersion",
"iam:GetRolePolicy",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:ListAttachedRolePolicies"
],
"Resource": "*"
}
...
Hinweis: Je nach Ihren Anforderungen und den in Ihre Lambda-Funktion
integrierten Services müssen Sie möglicherweise zusätzliche Berechtigungen für
andere AWS-Services erteilen. Weitere Informationen finden Sie unter AWS
Lambda-Berechtigungen.
ERFORDERLICHE BERECHTIGUNGEN ZUR ÄNDERUNG EINER LAMBDA-FUNKTION
Um einem Benutzer die Berechtigung zum Ändern einer Lambda-Funktion zu erteilen,
fügen Sie Berechtigungen wie die folgenden hinzu:
Hinweis: Je nach dem Grad des Schreibzugriffs, den Sie gewähren möchten, müssen
Sie möglicherweise alle oder eine Teilmenge der folgenden Berechtigungen
gewähren, wenn Sie die AWS CLI oder ein SDK verwenden.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ActionsWhichSupportResourceLevelPermissions",
"Effect": "Allow",
"Action": [
"lambda:AddPermission",
"lambda:RemovePermission",
"lambda:CreateAlias",
"lambda:UpdateAlias",
"lambda:DeleteAlias",
"lambda:UpdateFunctionCode",
"lambda:UpdateFunctionConfiguration",
"lambda:PutFunctionConcurrency",
"lambda:DeleteFunctionConcurrency",
"lambda:PublishVersion"
],
"Resource": "arn:aws:lambda:region:AccountID:function:function_name"
},
{
"Sid": "ActionsWhichSupportCondition",
"Effect": "Allow",
"Action": [
"lambda:CreateEventSourceMapping",
"lambda:UpdateEventSourceMapping",
"lambda:DeleteEventSourceMapping"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"lambda:FunctionArn": "arn:aws:lambda:region:AccountID:function:function_name"
}
}
},
{
"Sid": "ActionsWhichDoNotSupportResourceLevelPermissions",
"Effect": "Allow",
"Action": [
"lambda:UntagResource",
"lambda:TagResource"
],
"Resource": "*"
}
]
}
Hinweis: Aktualisieren Sie die Richtlinie so, dass sie Ihre relevante Region,
Konto-ID, Funktionsname, ARN usw. enthält.
Sie können den Zugriff mit lambda:addPermissionund lambda:removePermission auf
einen Principal, der in einer übergebenen Richtlinie enthalten ist, weiter
einschränken. Sie können lambda:UpdateEventSourceMapping und
lambda:deleteEventSourceMapping auch auf eine bestimmte Ereignisquellenzuordnung
beschränken. Weitere Informationen finden Sie unter Identitätsbasierte
IAM-Richtlinien für AWS Lambda.
Um einen vom Kunden verwalteten AWS Key Management Service (AWS KMS)-Schlüssel
zur Verschlüsselung von Umgebungsvariablen anzugeben, fügen Sie zusätzliche
KMS-Berechtigungen hinzu, indem Sie ein IAM-Richtlinien-Snippet ähnlich dem
folgenden verwenden:
...
{
"Sid": "PermissionsForCryptoOperations",
"Effect": "Allow",
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:CreateGrant"
],
"Resource": "arn:aws:kms:region:AccountID:key/keyID"
},
{
"Sid": "PermissionsToListExistingKeys",
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:ListAliases"
],
"Resource": "*"
}
...
Hinweis: Aktualisieren Sie die Richtlinie so, dass sie Ihre relevante Region,
Konto-ID, Funktionsname, ARN usw. enthält.
Um die Konfigurationen einer Lambda-Funktion über die Lambda-Konsole zu ändern,
fügen Sie Berechtigungen wie die folgenden hinzu:
...
{
"Sid": "PermissionsToViewFunctionsInConsole",
"Effect": "Allow",
"Action": [
"lambda:ListFunctions",
"lambda:GetAccountSettings"
],
"Resource": "*"
}
...
ERFORDERLICHE BERECHTIGUNGEN ZUM AUFRUFEN EINER LAMBDA-FUNKTION
Um eine Lambda-Funktion zu Testzwecken manuell über die AWS CLI oder ein SDK
aufzurufen, fügen Sie Berechtigungen wie die folgenden hinzu:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PermissionToInvoke",
"Effect": "Allow",
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:region:AccountID:function:function_name"
}
]
}
Hinweis: Aktualisieren Sie die Richtlinie so, dass sie Ihre relevante Region,
Konto-ID, Funktionsname, ARN usw. enthält.
Um Lambda-Funktionen mithilfe der Lambda-Konsole aufzulisten, fügen Sie
Berechtigungen wie die folgenden hinzu:
...
{
"Sid": "PermissionsToViewFunctionsConfigInConsole",
"Effect": "Allow",
"Action": [
"lambda:ListFunctions",
"lambda:GetAccountSettings",
"lambda:GetFunction"
],
"Resource": "*"
}
...
Um anderen Services den Aufruf einer Lambda-Funktion zu ermöglichen, verwenden
Sie ressourcenbasierte Richtlinien für AWS Lambda. Sie können
Funktionsrichtlinien verwenden, um den kontoübergreifenden Zugriff auf
Lambda-Funktionen ermöglichen. Die folgende Beispielrichtlinie kann verwendet
werden, um einem Benutzer von einem anderen AWS-Konto zu erlauben, eine
Lambda-Funktion manuell aufzurufen:
{
"Version": "2012-10-17",
"Id": "default",
"Statement": [
{
"Sid": "PermissionToInvoke",
"Effect": "Allow",
"Principal": {
"AWS": "arn:aws:iam::ExternalAccountID:user/username"
},
"Action": "lambda:InvokeFunction",
"Resource": "arn:aws:lambda:region:AccountID:function:function_name"
}
]
}
Hinweis: Aktualisieren Sie die Richtlinie so, dass sie Ihre relevante Region,
Konto-ID, Funktionsname, ARN usw. enthält.
FÜR DIE ÜBERWACHUNG VON LAMBDA-FUNKTIONEN ERFORDERLICHE BERECHTIGUNGEN
Um Amazon CloudWatch-Metriken in der ****Überwachungsansicht der Lambda-Konsole
anzuzeigen, fügen Sie Berechtigungen wie die folgenden hinzu:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "PermissionForCloudWatchMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricStatistics",
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
Um Berechtigungen für bestimmte CloudWatch-Metriken und CloudWatch Logs Insights
zu erteilen, siehe Amazon CloudWatch-Berechtigungsreferenz und CloudWatch
Logs-Berechtigungsreferenz.
--------------------------------------------------------------------------------
FolgenTeilen
Themen
Sicherheit, Identität & Konformität
Tags
AWS Identity and Access Management
Sprache
Deutsch
ÄHNLICHE VIDEOS
Sehen Sie sich Wassim Video an, um mehr zu erfahren (4:54)
AWS OFFICIALAktualisiert vor 3 Jahren
RELEVANTER INHALT
* Wie kann ich AWS Identity and Access Management (IAM) verwenden, um Benutzern
Zugriff auf Ressourcen zu gewähren?
AWS OFFICIALAktualisiert vor 3 Jahren
* Wie gewähre ich einem IAM-Benutzer Zugriff auf Datei-Supportfälle?
AWS OFFICIALAktualisiert vor 3 Jahren
* Wie kann ich meiner Amazon EC2-Instance Zugriff auf einen Amazon S3-Bucket in
einem anderen AWS-Konto gewähren?
AWS OFFICIALAktualisiert vor 2 Jahren
* Wie kann ich kontoübergreifenden Zugriff auf Objekte gewähren, die sich in
Amazon S3-Buckets befinden?
AWS OFFICIALAktualisiert vor 6 Monaten
FEEDBACK
* Datenschutz|
* Nutzungsbedingungen der Website|
* Cookie-Einstellungen|
* Seitenübersicht|
* Rechtliches|
* © 2024, Amazon Web Services, Inc. oder dessen Tochtergesellschaften. Alle
Rechte vorbehalten.
Richtlinien für die Teilnahme an der Amazon Community